Pernahkah ketika kita membuka file Microsoft Word, dengan ekstensi .doc atau .docx, yang dikirim seseorang via email. Lalu tiba-tiba kita melihat sekelabatan layar hitam Windows Command Prompt muncul, dan tiba-tiba kita merasa ada yang meremote computer kita ? Atau tiba-tiba computer kita kena ransomware dan semua file kita tidak bisa kita buka ? Atau file yang dikirim dalam bentuk lain, missal Microsoft Excel, Power Point, ZIP file, dan ketika kita membuka kita mengalami gejalan-gejala aneh diatas ? Bisa jadi kita sudah kena serangan phishing document.
Delivery malware kini sudah mengalami evolusi. Hacker sudah tidak lagi mengirimkan malware dalam bentuk executable dengan ekstensi .exe dan nama-nama yang disamarkan seperti penggunaan double extension, atau memakai nama-nama yang menarik seperti MyfotoAlbum.jpg.exe, Album-Kpop-Heboh2023.mp3.exe. Mereka “mengemas” malware mereka dalam bentuk lain yang tidak mencurigakan. Seperti dalam bentuk script ( javascript, VBS, Powershell), archive file (zip file), installer (.msi, .iso) bahkan dalam dokumen yang sering sekali kita pergunakan untuk berkomunikasi dengan orang lain seperti Microsoft Word, Microsoft Excel, Power Point, dan lain-lain. Ada lebih dari 50 ekstensi file yang mungkin disalahgunakan oleh hacker untuk menyusupkan malware di dalamnya.
Bagaimana hacker bisa menyusupkan malware ke dalam document ? Contoh untuk semua product Microsoft Office document ( Word, Excel, Powerpoint, Outlook, ) ada beberapa cara yang bisa digunakan hacker
1. Macros
Macros adalah tools pada product Microsoft Office yang memungkinkan kita mengotomatiskan tugas dan menambahkan fungsionalitas pada formulir, laporan, dan kontrol. Biasanya opsi menambahkan macros ada pada opsi View -> Macros. Pada dasarnya Macros memang di desain untuk memudahkan pengguna Office. Namun hacker menemukan hal lain, bahwa Macros memiliki power untuk bisa mengeksekusi perintah lain yang ada pada operating system tersebut seperti untuk menjalankan command lain pada Windows, sampai pada mendownload dan mengeksekusi malware.
Seiring dengan maraknya penyalahgunaan Macros, Microsoft mengeluarkan proteksi tambahan pada product nya, yaitu dengan menon-aktfikan Macros by default. Sehingga ketika kita membuka Office file yang mengandung Macros, maka dibagian atas document akan muncul notfikasi “SECURITY WARNING, Macros has been disabled”.
Namun disini, Microsoft memberikan opsi pilihan “Enable Content” yaitu opsi yang bisa dipilih user untuk mengaktifkan Macros pada document tersebut. Dan inilah yang sering digunakan oleh hacker, dengan menggunakan teknik Social Engineering, hacker akan menggunakan pesan-pesan manipulative untuk meminta user mengaktifkan Macros dengan memilih opsi Enable Content
Namun disini, Microsoft memberikan opsi pilihan “Enable Content” yaitu opsi yang bisa dipilih user untuk mengaktifkan Macros pada document tersebut. Dan inilah yang sering digunakan oleh hacker, dengan menggunakan teknik Social Engineering, hacker akan menggunakan pesan-pesan manipulative untuk meminta user mengaktifkan Macros dengan memilih opsi Enable Content2. Office product exploit
Ada beberapa Office product exploit yang sering dipakai hacker untuk mengirimkan malware kepada korban. Seperti Folina alias CVE-2021-40444, CVE-2017-0199, CVE-2017-11882. Semua exploit code untuk membuat malicious document dengan exploit ini sudah tersedia di beberapa platform seperti Github, sehingga makin memudahkan untuk hacker dalam mengirimkan malware nya.
Berbeda dengan konsep Macro, document yang dibuat dengan metode ini tidak akan memunculkan “Security Warning”. Alias begitu user membuka file tersebut pada system operasi dan perangkat Microsoft Office yang masih rentan dengan exploitasi tersebut, maka malware yang ada di dalamnya akan langsung terinstall pada computer user.
Bagaimana cara mencegah agar computer kita tidak terinfeksi lewat phishing document ?
Satu, pastikan tidak membuka file sembarangan dari orang yang tidak dikenal. Bahkan ketika file tersebut dikirim dari orang yang kita kenal (orang dalam kontak kita) namun dikirim dengan cara dan bentuk yang tidak biasa, ada patutnya kita perlu curiga. Ada beberapa tipe malware yang ketika berhasil menginfeksi sebuah computer, maka ia akan berusaha mengakses email yang ada pada computer tersebut (lewat Outlook, Thunderbird) dan mengirimkan malware tersebut ke email lain menggunakan email yang ada pada computer yang sudah terinfeksi malware sebelumnya
Dua, jika kita menerima file dari seseorang, baik yang kita kenal atau tidak, dan kita ragu akan keamanannya, kita bisa melakukan scanning file tersebut dengan antivirus yang ada pada computer kita. Atau jika kita ragu dengan kemampuan computer kita, kita bisa mengupload ke Virustotal (virustotal.com) untuk dilakukan scanning terhadap semua antivirus yang ada
Tiga, jika memungkinkan lakukan patching jika memang software atau operating system yang ada pada computer kita memiliki kerentanan. Tentunya ini di sesuaikan dengan policy atau kebijakan dari perusahaan kita. Kalau memang tidak memungkinkan untuk melakukan update pada software atau operating system, setidaknya kita bisa melakukan update antivirus yang ada pada computer kita untuk memperbaharui database malware yang ada pada antivirus kita.
*referensi : https://attack.mitre.org/techniques/T1204/002/
